Stiftung Datenschutz
Rechtsanwältin über den neuen Daten-TÜV
CIO.de: Sie konnten sich bisher irgendwelche anderen Siegel kaufen, dieser Markt würde dann nicht mehr erfolgreich sein.
Foto: M. Schuppich/Fotolia.de
Bauer: Nein, wohl nicht, denn die Stiftung wird selbst entsprechende Gütesiegel entwickeln. Auf dem Markt gibt es bisher vor allem das Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein. Dieses wird für die Datenschutzkonformität von IT-Produkten verliehen und basiert nur auf dem Landesdatenschutzgesetz des Landes Schleswig-Holstein. In Europa kann man damit nur schwer werben.
Hier gibt es ergänzend noch das EuroPriSe-Siegel, das auf europäischer Ebene die Datenschutzkonformität von IT-Produkten bestätigt. Das hat sich aber nicht richtig durchgesetzt und dient durch die Beschränkung auf IT-Produkte letztlich nicht der Bestätigung der Einhaltung von Datenschutzstandards im gesamten Unternehmen. Die Standardzertifikate vom TÜV und von anderen privaten Anbietern sind nicht neutral. Dafür brauchen wir eine Behörde.
CIO.de: Ist das nicht doch eine Feigenblatt-Geschichte, für die zu wenig Geld zur Verfügung gestellt wird?
Bauer: Ich bin hier hin- und her gerissen. Es geht um zehn Millionen, das hört sich zunächst viel an. Doch wenn die Stiftung keine externen Auditors anstellen soll, ist das vielleicht doch etwas zu knapp bemessen. Auf der einen Seite muss eine neue Behörde errichtet werden, daneben müsste dort entsprechend gut ausgebildetes und teures Personal angestellt werden. Aber man muss abwarten, in welchem Umfang die Stiftung tatsächlich eigenständig agieren wird oder externe Auditors mit einbezieht.
Unternehmen sollten jetzt schon mit Audits anfangen
CIO.de: Was sagen Sie den Unternehmen, was sollen diese heute schon machen?
Bauer: Empfehlenswert ist, entweder interne Audits durch den eigenen Datenschutzbeauftragten beziehungsweise den Compliance-Officer durchführen zu lassen oder einen externen Experten damit zu beauftragen. Untersucht wird der Datenschutzstandard im Unternehmen, es werden Verbesserungsvorschläge gemacht, um ein gewisses Datenschutzniveau zu erreichen.
Nach einem solchen Audit und der anschließenden Umsetzung können sich Unternehmen relativ entspannt zurück lehnen, da sie damit gut vorbereitet sind für die künftigen neutralen Audits oder Siegel. Sie können diese dann schnell durchführen lassen. Das ist eine Chance für die Firmen, vor allem wenn sie die guten Ergebnisse nach außen tragen und als Wettbewerbsvorteil nutzen. Datenschutz muss natürlich intern auch gelebt werden, sonst fällt es einem vor die Füße.